Ubuntu From Scratch如何进行安全设置

Ubuntu From Scratch (UFS) 是一个项目，它教授用户如何从零开始构建自己的 Ubuntu Linux 系统。虽然这个项目本身与 Ubuntu 的日常使用或部署不直接相关，但构建自定义 Linux 系统时，了解基本的安全设置是非常重要的。以下是一些通用的安全设置步骤和建议，这些步骤可以帮助你构建一个更安全的系统：

系统更新与软件源优化

• 保持系统更新：定期更新系统以修复已知的安全漏洞。

  sudo apt update && sudo apt full-upgrade -y
  

• 优化软件源：使用国内镜像源加速下载，并清理旧内核和无用依赖。

  sudo apt autoremove --purge
  

防火墙配置

• 启用防火墙：使用 UFW（Uncomplicated Firewall）来限制入站和出站流量。

  sudo ufw enable
  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  sudo ufw allow OpenSSH
  sudo ufw allow 80/tcp # HTTP
  sudo ufw allow 443/tcp # HTTPS
  sudo ufw status verbose
  

用户与权限管理

• 禁用 root 登录：通过密码锁定 root 账户，防止直接登录。

  sudo passwd -dl root
  

• 创建专用用户：为特定任务创建专用用户，并限制其权限。

  sudo adduser devuser --gecos "" --disabled-passwords
  sudo usermod -aG sudo devuser
  

• SSH 安全配置：修改 SSH 配置文件以禁用 root 登录和密码认证。

  sudo nano /etc/ssh/sshd_config
  

  修改以下参数：

  PermitRootLogin no
  PasswordAuthentication no
  AllowUsers devuser
  

  修改后重启 SSH 服务：

  sudo systemctl restart sshd
  

安装安全工具

• 入侵防御系统：安装 fail2ban 等工具来防止暴力破解攻击。

  sudo apt install fail2ban
  

• 恶意软件扫描：安装 rkhunter 和 chkrootkit 来定期检查系统是否被恶意软件感染。

  sudo apt install rkhunter chkrootkit
  

• 定期安全更新：使用 unattended-upgrades 来自动安装安全更新。

  sudo apt install unattended-upgrades
  sudo dpkg-reconfigure unattended-upgrades
  

AppArmor 配置

• 启用 kernel.apparmor_restrict_unprivileged_unconfined=1：阻止 aa-exec 滥用。
• 禁用广泛的 AppArmor 配置文件：如 busybox 和 Nautilus 的配置文件。
• 应用更严格的 bwrap AppArmor 配置文件：为依赖用户命名空间的应用程序使用。
• 使用 aa-status 识别并禁用其他有风险的配置文件。

其他安全建议

• 配置系统日志：确保系统日志记录关键活动，以便于审计和追踪。
• 使用 SELinux 或 AppArmor：如果需要更高级别的安全隔离，可以考虑使用 SELinux 或 AppArmor。
• 定期备份重要数据：以防万一系统受到攻击时能够恢复数据。

通过上述步骤，你可以为从 Ubuntu From Scratch 构建的系统提供一个基本的安全框架。根据具体需求，可能还需要进行更多的定制和优化。